安全軟件公司互聯(lián)網(wǎng)安全系統(tǒng)(ISS)公司6月19日宣布取得了勝利,聲稱發(fā)出這種奇怪?jǐn)?shù)據(jù)的是一種能夠掃描公共網(wǎng)絡(luò)通道的新的黑客工具。
但是,跟蹤這個(gè)代碼的Intrusec安全公司和其它公司的許多專業(yè)安全人員都認(rèn)為,ISS的說法不準(zhǔn)確。
Intrusec創(chuàng)始人和首席執(zhí)行官David J. Meltzer稱,元兇可能還在那里。這種工具有可能是產(chǎn)生這種網(wǎng)絡(luò)通信的一種原因。但是,根據(jù)安全專家截獲的數(shù)據(jù),這種黑客工具并不是元兇。這使我們想到,還存在某些東西在制作這種并不屬于特洛伊木馬的數(shù)據(jù)包。由于這種數(shù)據(jù)不能自我復(fù)制,所以并不非常嚴(yán)重。
5月中旬以來,安全研究人員和網(wǎng)絡(luò)管理員一直設(shè)法跟蹤他們?cè)谄渚W(wǎng)絡(luò)上發(fā)現(xiàn)的這種奇怪的通信來源。這種數(shù)據(jù)頻繁地試圖連接不存在的服務(wù)器或者現(xiàn)有的服務(wù)器沒有提供的服務(wù)。唯一共同的線索就是這種數(shù)據(jù)包的視窗大小是55,808字節(jié),并且是從不存在的網(wǎng)絡(luò)地址發(fā)出來的。
安全服務(wù)提供商LURHQ公司的高級(jí)入侵分析師Stewart認(rèn)為,這是一種功能很差的掃描器,或者某人正在繪制網(wǎng)絡(luò)地址圖。他說,我認(rèn)為,沒有人真正地找到這種數(shù)據(jù)的來源。
對(duì)于這種數(shù)據(jù)要做什么現(xiàn)在有各種說法。一些人最初認(rèn)為,這種數(shù)據(jù)是一種蠕蟲利用互聯(lián)網(wǎng)中繼聊天系統(tǒng)發(fā)送出去的。另一些認(rèn)為,這種數(shù)據(jù)是一種低等級(jí)的拒絕服務(wù)攻擊。安全公司網(wǎng)絡(luò)聯(lián)盟把這種數(shù)據(jù)當(dāng)成一種蠕蟲,其名稱是W32/Randex.c。
不過,根據(jù)對(duì)這種數(shù)據(jù)的分析,目前大多數(shù)理論似乎都認(rèn)為,Intrusec發(fā)現(xiàn)的這種代碼是一種掃描器和一種攻擊工具。這種數(shù)據(jù)向隨機(jī)的地址發(fā)出信息,希望另一方存在一個(gè)被這種程序感染的計(jì)算機(jī)。不過,這種代碼有許多錯(cuò)誤,不能正常工作。
LURHQ公司的高級(jí)入侵分析師Stewart認(rèn)為,發(fā)現(xiàn)的這種代碼是可能是某些匿名黑客進(jìn)行的一種研究。不過,他不能肯定是否還有其它原因。他說,在有人提出與我的看法一致的分析之前,我準(zhǔn)備等待。